Laravel メール送信が絡むと多重送信可能になる

Laravel 5.7 でお問合せフォームを作成しました。

「入力画面→完了画面」方式です。

多重送信防止ですが、処理にメール送信があると効きません。

PHP
1$request->session()->regenerateToken();

POSTされた際のアクション

PHP
1public function send(Request $request)
2{
3    $data = $request->only('name', 'email', 'message');
4    //DBに保存
5    Contact::create($data);
6    //メール送信
7    Mail::to($to)->send(new ContactMail($data)); //この行がなければ多重送信防げる
8    // 多重送信対策
9    $request->session()->regenerateToken();
10    return redirect()->action('ContactController@thanks');
11}

ルーティング

PHP
1Route::get('/contact', 'ContactController@form');   //入力画面表示
2Route::post('/contact', 'ContactController@send');  //送信処理
3Route::get('/thanks', 'ContactController@thanks');  //完了画面表示

formメソッドとthanksメソッドは画面を表示するだけです。

PHP
1public function form()
2{
3    return view('form');
4}
5
6public function thanks()
7{
8      return view('thanks');
9}

メール送信処理があると、なぜ多重送信されてしまうのでしょうか。

また、完了画面に直接リンクできる状態ですが、不自然でしょうか。
この場合、sendメソッドから完了画面にリダイレクトするときにセッションを付与して、thanksメソッドで確認する等の処理が最適ですか。

回答よろしくお願いします。

行動規範の内容に同意します

回答1件

ベストアンサー

regenerateToken()の効果が出るのが間に合っていないからではないでしょうか。

セッションがあるリクエストの処理は大雑把に言うと以下のようになります。

リクエストの処理をはじめるときにクライアントから送られてきたセッションIDをもとにセッション情報をよみだす
リクエストの処理の本体。この例でいうとsend。
最後にセッション情報を書き出します。

この一連の処理をロックして行う流儀とロックはしない流儀があります。ロックする方だとこのような問題は起きないのですがLaravelのセッションはロックしない方です。(その分ロックする方は同じセッションのリクエストは一度に一つしか処理できないので効率が悪いという弱点があるので一長一短ではあります)

メール送信はそこそこ時間のかかる処理なので、送信連打があると一つ目のregenerateToken()で更新された新しいトークンを持ったセッション情報を書き出す前に別のリクエストが動きはじめることがあって、そのときトークンが古いままで処理されるのでCSRFトークン不一致になることなく処理が継続できてしまいます。

メール送信を入れる前は起きなかったとありますが、おそらく同じく問題になるタイミングは短いながらもあるのですが、人間が連打したぐらいではなかなか起きないということではないかと思います。

対策ですがブラウザ側でjavascriptなどで対策する方法とサーバ側で対策する方法が考えられます。

サーバ側でやる場合は、使用済みトークンかどうか判定するのがいいのではないでしょうか。csrfトークンが使用済みであることを記録し、入り口でチェックします。

例:

Cache::addはキーが登録済みならfalseを返すのでこういう用途には便利です。regenerateTokenで新たに作られたトークンを含んだセッション情報が保存されるまで持てばいいので保持期間は1分もあれば十分でしょう。

php
1    if (!Cache::add('used_token.'.$request->session()->token(), 1, 1)) {
2        # 使用済みだったときの処理
3        # 例: TokenMismatchExceptionを投げる(CSRFトークン不一致の扱いにする)
4        #     独自のエラー表示にする など
5    }

またメール送信は遅いので別プロセスで後で処理するようにするというのもよく行われます。Laravelだとキューの仕組みがありますから、リクエストの処理ではキューに積むだけで送信は後でやるというようなことも比較的簡単に実現できます。

投稿2019/03/09 04:25

crhg

総合スコア1177

kriht

2019/03/10 11:22

ありがとうございます！以下のようにsendメソッドの入口に、ご提示いただいたコードを記述したら多重送信防止できました。 public function send(Request $request) { if (!Cache::add('used_token.'.$request->session()->token(), 1, 1)) { return abort(403);} //メール送信処理など }

kriht

2019/03/10 11:27

完了画面のURLへ直接リンクできてしまうことに関しては、 sendメソッドの最後で以下のようにセッションを付与して return redirect()->action('ContactController@thanks')->with('status', true); thanksメソッドでは以下のように、セッションがあれば完了画面を表示 if(session('status')){ return view('thanks');　} return redirect('/'); このやり方が良いでしょうか？

行動規範の内容に同意します